18/05/2024

evidencia digital

riesgos

La evidencia digital – Base para el perito informático

Guido Rosales 26/07/2021

SIN EVIDENCIA DIGITAL, EL PERITO INFORMÁTICO PUEDE ESTAR SOBRANDO

La base para emitir desarrollar una pericia en informática forense es sin duda la evidencia digital.

DELITOS IMPUTADOS

En la legislación boliviana tenemos ciertos delitos considerados "Informáticos" como por ejemplo la manipulación (art. 363bis).

El que con la intención de obtener un beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco años y con multa de sesenta a doscientos días.

Entonces si este delito versa sobre el procesamiento o transferencia de datos informáticos, se debe demostrar tal extremo mediante el análisis de la EVIDENCIA DIGITAL.

El resto de medio probatorios como TESTIMONIAL y DOCUMENTAL le permitirían a un perito tener un análisis del contexto para establecer cual hubiera sido el procesamiento correcto. PERO no puede fundamentar su opción únicamente en estos medios de prueba sin el análisis de EVIDENCIA DIGITAL.

El perito debe extremar esfuerzos para obtener la evidencia digital base para su análisis y testimonio profesional. Por supuesto que sus canales deben ser las partes proponentes y sus vías legales. Sí por algún motivo esta no es habida, entonces debe abstenerse de emitir opinión y sobre todo DICTAMEN

El PERITO INFORMÁTICO EXISTE POR CUANTO HAY ASPECTOS INFORMÁTICOS A ANALIZAR Y EVIDENCIA DIGITAL A INTERPRETAR

 Como en otras ramas de la criminalística, considerando la física, química, biología por ejemplo se genera un tipo de evidencia que debe ser analizado e interpretado por un especialista en el campo para esclarecer la ocurrencia de un hecho. Responder a preguntas del cómo, cuando, quien básicamente.De similar manera la Pericia Informática EXISTE por cuanto tenemos evidencia digital que acompaña generalmente un proceso físico o también digital. Entonces el especialista en este campo debe valorar con mayor relevancia la EVIDENCIA DIGITAL. Si bien debe leer documentación, eventualmente escuchar testimonios, su principal foco seguirá siendo la parte digital.No es un especialista en documentología para concluir a partir de la revisión de un formulario, o realizar entrevistas y jugar a ser un psicólogo forense, por ejemplo.También deberá tomar en cuenta que requiere subespecialización si decide interpretar el mundo analógico contenido en un soporte digital como la Voz o imagen.ZAPATERO A TUS ZAPATOS

SI EL ABOGADO DESCONOCE DE EVIDENCIA DIGITAL SUS OTROS MEDIOS SOBRAN

Es también cierto que las personas nos sentimos cómodas con lo que conocemos. Resulta que muchos abogados en la función que tiene ya sea como defensores, acusadores o juzgadores, eluden hablar de la evidencia digital y utilizan los medios testimoniales y documentales para el análisis de un hecho informático.

Pero, si el único delito imputado es MANIPULACIÓN INFORMÁTICA,  como pueden juzgar sin analizar?. Ojo que no dar cabida a su amplio análisis es menoscabar los derechos de alguna de las partes. Así como desconocer la ley no nos exime de su cumplimiento, debe ser obligación  para los profesionales del área legal EXCUSARSE si la materia a tratar no es de su especialidad. 

O en su defecto contar con CONSULTORES TÉCNICOS.

 

NO PUEDES SER ESPECIALISTA CON UNAS HORAS DE LECTURA

Resulta por demás extraño que al Perito se le cuestione todos sus estudios cuando el abogado pretende ser un especialista con a veces y siendo optimistas, algunas horas de lectura, dado que muchos utilizan preguntas de manual de interrogatorio.

El abogado no utiliza la figura del Consultor Técnico demostrando su ego profesional de no ahondar su especialidad por ejemplo penal en TIPOS DE DELITOS.

NECESITAMOS ABOGADOS SUBESPECIALIZADOS, DEFENSORES, MINISTERIO PÚBLICO, ACUSADORES Y SOBRE TODO JUECES.

forense

INFORMÁTICA FORENSE EN BOLIVIA

Guido Rosales 16/08/2020

Lastimosamente el avance en materia de Informática Forense en Bolivia no ha sido el esperado en los últimos 15 años. Y no tocamos el tema de capacitación, sino el tema de inversión en laboratorios proporcionalmente al resultado de los casos investigados y resueltos favorablemente.

En este articulo queremos compartir puntos de vista respecto a la practica real de esta ciencia, basados en los mas de 10 años que participamos en investigaciones con evidencia digital.

 

El Recurso Humano

Quizá academicamente este sea el punto que mas hemos desarrollado. Tenemos profesionales capacitados en diferentes niveles, tanto de certificaciones internacionales y nacionales asi como a nivel de Diplomados e inclusive tenemos Maestrías con la denominación de Informática Forense.

Pero esta situación no es la misma se vemos el lado profesional y ocupacional. No tenemos en la misma proporción académica a los profesionales que vivan y facturen sus ingresos de la practica forense. Es decir, nos estamos quedando en el conocimiento teórico de la informática forense y tratamiento de la evidencia, pero al no haberse generado la suficiente cantidad de casos donde se pague por este servicio, la cantidad de profesionales que estén invirtiendo en herramientas forenses, por ejemplo o que se promocionen a si mismo como investigadores forenses en este campo, es muy REDUCIDA.

Aportes de Yanapti a la Informática Forense en Bolivia

https://youtu.be/9mOR2j4rRKEhttps://youtu.be/keE6H6jFX2whttps://youtu.be/qhis8nSpu1I

En esos videos podemos apreciar el aporte de Yanapti SRL en el desarrollo de la Informática Forense en Bolivia. Actividades generadas en el la comunidad mediante eventos internacionales con profesionales latinoamericanos donde ademas de capacitación se exponían recursos de software y hardware para la implementacion de laboratorios .

Evento INFOFOR

Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR
Evento INFOFOR

Previo
Siguiente

Sin duda los eventos INFOFOR marcaron su hito. Actividades donde contamos con la participación de las principales marcas en materia de informática forense: GuidanseSoftware, AccessData, Cellebrite, Tableau y Otras.  Invitados Internacionales capacitando al recurso humano. Ahora esperamos que sigan la iniciativa de empoderar esta actividad forense con eventos de esta magnitud y con seguridad mucho mas grandes y con mayor alcance.

Informática Forense a nivel Bolivia

Evento INFOFOR
Tarija
DSC02549
DSC02538
DSC02531
DSC09801
DSC09799
IMG-20110915-00477
a5
a10
DSC00252
DSC00214
DSC07063
DSC07058
concluyendo F
DSC00262

Previo
Siguiente

Sin duda uno de los resultados mas gratos ha sido llegar a casi toda Bolivia con la Informática Forense. Decimos casi, por cuanto nos falto únicamente Potosí. Realizamos un convenio ínter institucional con el Ministerio Publico y visitamos las ciudades capital: Cobija, Trinidad, Sucre, Tarija, Cercado(Oruro), La Paz, Santa Cruz, 

Desde Bolivia a Latinoamerica

DSC02588
DSC02576
DSC02569
DSC02517
a17
DSC02458
DSC02044
DSC02018
DSC02009
DSC02008
DSC02007
IMGA0118
IMGA0099
IMGA0091
IMGA0083
IMGA0067
IMGA0034

Previo
Siguiente

La actividad de Informática Forense no esta muy desarrollada en el mundo en términos generales, esta característica nos ha permitido exportar conocimiento a diferentes países vecinos donde hemos participado de capacitaciones en laboratorios de unidades policiales y comunidades profesionales. 

Aporte Académico

Desde el año 2003 vamos apoyando diferentes programas académicos en varias universidades nacionales con temas de informática forense:

  • EMI - Creación de la Maestría de Seguridad 2007
  • UAGRM - Desde el año 2007 a la fecha en diferentes programas de Maestría
  • UMSA - Diplomados y Maestrías
  • UCB - Programas de pre grado y postgrado
  • USFXCH - con actividades especificas
  • Univalle - Postgrafos y actividades especificas
  • Loyola - con actividades especificas
  • San Francisco de Asís - con actividades especificas
  • UMSS - Eventos académicos
  • UNIPOL - Eventos académicos

Conclusiones

Lamentablemente no hemos avanzado como se pudiera desear. Donde tenemos pendientes?

  1. El apoyo ESTATAL - No se ha generado el marco legal suficiente para apoyar el aporte  de la evidencia digital en la investigación criminal. Aun los abogados prefieren otros instrumentos de prueba antes de fuentes digitales. Esto sera una barrera generacional a vencer. Ojala con el efecto de la Pandemia cobre mas relevancia el aspecto remoto y virtual.
  2. El aspecto ACADÉMICO - Aun se mezcla el tema de seguridad con el tema forense. Se esta haciendo una practica la lógica del hacking como instrumento para practicar la informática forense. Si bien es muy relevante, pero esta dejando de lado temas legales que deben ser tomados en cuenta. Falta la formación técnico legal en proporcionalidad y equilibrio.
  3. El aspecto PROFESIONAL- Nuestros profesionales no están invirtiendo en recursos y laboratorios. La practica aun esta basada en recursos de software libre que si bien no esta mal , pero no nos llevan a un nivel de investigación empresarial, o corporativa. Estamos con la capacidad de atender casos aislados, pero no encarara investigación por ejemplo de fraude corporativo. Tenemos muy pocos profesionales con experiencia probada de inicio a fin, es decir desde la investigación hasta el juicio oral. Muchos se han quedado en el tema académico y no han llevado la teoría a escenarios reales.
  4. El aspecto EMPRESARIAL- Por un lado el potencial mercado no demanda estos servicios de manera preventiva, únicamente cuando ya sea producido un ilícito se busca servicios de informática forense para respaldar algún proceso. No se ha entendido que la madurez forense en temas de evidencia digital ayudaría mucho por cuanto las PYMES y hasta Grandes Empresas no tienen adecuados controles sobre su evidencia digital como para darle valides jurídica y probatoria.
  5. El aspecto de MERCADO- Con todos los elementos anteriores, practicar profesionalmente informática forense no llega a satisfacer las necesidades de rentabilidad de las empresas que quieran dedicarse exclusivamente a este campo. La cantidad de casos donde se puedan hacer proyectos de investigación no justifica la inversión. Entonces esta actividad llega a ser algo ocasional y no llega a ocupar un espacio solido en el portafolio de servicios a ofrecer.

Debemos seguir avanzando, pero con visión holistica, la informática forense no es solo temas técnicos, sino legales y hasta humanos.
El resultado se traduce en JUSTICIA

MANUAL DE TECNICAS ANTIFORENSES – EVIDENCIA DIGITAL

Guido Rosales 19/03/2019

La informática forense, así como otras ciencias de la investigación presenta diversas técnicas que pueden haber sido utilizadas para contaminar o destruir la evidencia digital. Estas técnicas deben ser consideradas como "posibles" al momento de realizar el análisis forense de la evidencia digital y sobre todo al momento de definir PUNTOS PERICIALES..

Los casos citados son más específicos y adecuados a entornos personales. Evidentemente sin políticas y controles empresariales también pueden darse a nivel laboral o de alguna manera pueden involucrar credenciales de administración y super usuarios.

En las siguientes entregas estaré analizando algunas con la finalidad de dar un acercamiento referencial de las mismas. Reitero la finalidad; deben ser consideradas por los investigadores, abogados, jueces y policías antes de dar por cierta o falsa la información que pueda proporcionar este tipo de evidencias.

Por ahora podemos citar algunas de manera referencial y abocarnos en la primera:

  1. Modificación de hora y fecha
  2. Desfragmentación de disco
  3. Borrado seguro y mantenimiento de espacio libre.
  4. Respaldos totales en el mismo equipo.
  5. Autoinfección con malware
  6. Autohackeo con acceso remoto
  7. Cambio de dispositivo y partes
  8. Reinstalación de sistema operativo
  9. Eliminación de logs y registro de eventos
  10. Intermitencia en registro de eventos
  11. Máquinas virtuales
  12. Espacios cifrados
  13. Archivos cifrados
  14. Booteo electivo
  15. Usuarios fantasmas
  16. Lenguaje codificado: apodos y sobrenombres a las acciones y objetos
  17. Modificacion de firmas y extenciones de archivo
  18. Modificacion de cabeceras
  19. Camuflaje de archivos

¡¡y Otras, que sin duda estaremos recordando de los casos atendidos durante mas de 20 años!! Lamentablemente a veces la imaginación para delinquir supera a todas las habilidades humanas.

Vamos con la primera:

MODIFICACIÓN DE HORA Y FECHA

Cuando un archivo se lea, acceda o modifica, estos datos quedan registrados a nivel de metadatos.

Pero si se ha modificado ya sea desde el BIOS (caso de un usuario mas avanzado) o solamente desde el SO las propiedades de ese archivo podrán ser modificadas.

Una opcion es trabajar con fecha pasada:

Mas critico puede ser trabajar con fecha futura:

Los ejemplos son con archivos individuales, pero si despues de modificar las fechas copiamos todo un directorio de trabajo:

Los metadatos seran alterados.

si alguien se anima, puede enviarme por inbox cual es el resultado de esta modificación. Que metadatos son alterados?

EFECTO ANTIFORENSE

Resulta que cuando se investiga un hecho, normalmente se acota el alcance de manera temporal, pero no se esta considerando esta posibilidad.

Cuando la modificación se hace hacia el pasado, se puede estar ocultando sutilmente información relaciona a un hecho puntual.

Cuando la modificación es al futuro, se esta llegando a cuestionar toda la integridad de este control.

Como se puede detectar? Sera tarea de casa investigar. Vamos a juntar respuestas y publicarlas mas adelante.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023